Carlos B Fernández. La Agencia Española de Protección de Datos ha hecho pública una Guía sobre el uso de cookies en sitios web o en aplicaciones móviles, con la finalidad de medición de su audiencia.
Estas cookies se utilizan por parte del editor de una página o una aplicación para su gestión, en particular para la obtención de estadísticas de tráfico o de rendimiento, a menudo esenciales para la prestación del servicio.
Las cookies son unos dispositivos informáticos de almacenamiento y recuperación de de esos datos.
Los datos y la información tratada mediante el uso de cookies con dicho fin puede ser gestionada directamente por el editor o bien por un proveedor que puede proporcionar un servicio de medición comparativa de audiencia. Cuando esta actividad implique el tratamiento de datos personales, el editor de la aplicación o sitio web actuará como responsable del tratamiento, mientras que el proveedor actuaría como encargado del tratamiento de uno o varios editores.
Según explica la Guía de la AEPD, el tratamiento de estos datos por parte de responsable y encargado puede estar exenta de consentimiento, en determinadas condiciones.
1. Su finalidad debe estar estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación.
2. Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizado únicamente para producir datos estadísticos anónimos.
3. Estas cookies o tecnologías similares no deben dar lugar a que los datos se cotejen con otras operaciones de tratamiento o a que los datos se transmitan a terceros.
4. No deben permitir el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web.
Por lo tanto, se excluye cualquier solución que utilice el mismo identificador en varios sitios para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido
(por ejemplo, a través de cookies colocadas en un dominio de terceros cargado por varios sitios)
5. No entran en el ámbito de aplicación de esta exención algunos servicios de analítica y medición de audiencia, implementados por el propio editor o por proveedores, cuando declaren que reutilizan los datos para otras finalidades, como es el caso de varias ofertas de medición de audiencia disponibles en el mercado.
Por ello, y en general, la AEPD considera que para la correcta administración de un sitio de Internet únicamente son estrictamente necesarias las siguientes mediciones:
• Medición de audiencia, página por página;
• La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada "referente"), ya sea interna o externa al sitio, por página y agregada diariamente;
• Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente;
• Estadísticas de tiempo de carga de la página, por página y agregadas por hora;
• Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
• Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente;
• Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.
Cualquier otro tratamiento de los datos más allá de estos listados tanto por el editor como por el proveedor ha de contar con el consentimiento del interesado para ser considerado lícito.
Garantías que debe implementar el editor con relación a las cookies exentas
La Guía recoge también las garantías mínimas que debe aplicar el editor, tanto en relación con su propia actividad, como en la de un encargado o proveedor externo, para el uso de estas cookies de medición exentas de consentimiento.
a. Garantías mínimas
Cuando se utilicen cookies o tecnologías similares exentas de la obligación de recabar el consentimiento para la medición de audiencia, y con el propósito de respetar los derechos de las personas, se han de implementar las siguientes garantías mínimas:
1) Los usuarios serán informados de la utilización de estas cookies o tecnologías similares consideradas exentas con el propósito de medición de audiencias, por ejemplo, a través de la política de privacidad del sitio o la Aplicación móvil;
2) La vida útil de estas cookies o tecnologías similares se limitará a un período que permita una comparación significativa de audiencias a lo largo del tiempo, como es el caso de una duración de trece meses, y que no se extenderá automáticamente en nuevas visitas;
3) La información recopilada a través de estas cookies o tecnologías similares se conservará durante un período máximo de veinticinco meses;
4) La vida útil y periodo de conservación mencionados anteriormente estará sujetas a revisión periódica para limitarse a lo estrictamente necesario.
b. Garantías que debe facilitar el proveedor de servicios de medición externo que da servicio a varios editores
Un proveedor que proporcione un servicio de medición comparativa de audiencia a varios editores debe dar garantías objetivas al editor de que:
1) Los datos se recopilan, procesan y almacenan de forma independiente para cada editor; y
2) Las cookies o tecnologías similares utilizadas son completamente independientes las unas de las otras y de cualquier otra cookie o tecnología similar.
c. Garantías adicionales cuando el editor recurre a un proveedor de servicios de medición de audiencia
Cuando el editor recurra a un proveedor de servicios de medición de audiencia tendrá que cumplir con las siguientes garantías adicionales:
1) Tener con el proveedor un compromiso contractual que cumpla los requisitos del artículo 28 del RGPD (LA LEY 6637/2016) en el que se explicite:
a) La obligación no reutilizar los datos recopilados en ningún caso, en el marco del contrato.
b) Restringir el tratamiento de los datos a los propósitos establecidas anteriormente como estrictamente necesarios.
c) Cumplir con las garantías establecidas para el caso de dar servicio a múltiples editores.
d) Que toda transferencia de datos fuera de la Unión Europea cumple con las condiciones de cumplimiento establecidas en el RGPD.
2) Realizar y documentar una evaluación, por sí mismo o por un tercero independiente, de si es posible configurar, y están configuradas, las herramientas proporcionadas por el proveedor para garantizar el cumplimiento de los requisitos enumerados en el apartado anterior.